transferencias internacionales

La Comisión Europea acaba de publicar la versión definitiva de las nuevas y esperadas Cláusulas Contractuales Tipo (Standard Contractual Clauses o SCCs), que sirven como mecanismo para otorgar un nivel adecuado de protección de datos personales a algunas transferencias internacionales de datos. Previamente, la Comisión europea publicó una primera versión de las SCCs sujetas a consulta pública.

Las SCCs anteriores y que quedan derogadas por éstas, constituyeron uno de los mecanismos más comunes para garantizar un nivel adecuado de protección al realizar transferencias internacionales. Las anteriores SCCs estaban en proceso de revisión y actualización al ser anteriores a la entrada en vigor del Reglamento General de Protección de Datos. Este proceso de revisión se vio acelerado por la Sentencia Schrems II del Tribunal de Justicia de la Unión Europea, que, aunque las considerara válidas, concluía que en algunos casos podían no ser suficientes para garantizar un nivel adecuado de protección.

A continuación analizamos las cuestiones más relevantes de las SCCs.

Estructura

Las nuevas SCCs tiene una estructura modular, siendo su redactado diferente dependiendo del escenario en el que se utilicen. En este sentido, las SCCs contemplan cuatro escenarios diferentes de transferencias internacionales de datos:

  1. de responsable a responsable (R-R);
  2. de responsable a encargado (R-E);
  3. de encargado a responsable (E-R); y
  4. de encargado a encargado (E-E).

La estructura modular de las nuevas SCC en cuanto escenarios diferentes tienen en cuenta dos escenarios que no se contemplaban con las anteriores (E-R y E-E). De esta manera, las nuevas SCCs reflejan mejor la diversidad de escenarios presente en la realidad.

Así, las SCCs para todos los escenarios se dividen en cuatro (4) secciones diferentes: (i) una primera sección introductoria con cláusulas generales sobre interpretación y jerarquía, (ii) una segunda sección con las obligaciones de las partes, (iii) una tercera sección sobre obligaciones de análisis de normas locales y acceso a datos por parte de las autoridades, y (iv) una cuarta sección con cláusulas finales como pueden ser, la cláusula de ley aplicable o la de jurisdicción. Asimismo, los escenarios R-R y E-R contienen dos anexos sobre características del tratamiento y medidas técnicas y organizativas, mientras que los escenarios R-E y E-E contienen un anexo adicional para listar a los subencargados del tratamiento.

Adicionalmente, las nuevas SCCs contienen toda la información requerida para la contratación de encargados del tratamiento. Por lo tanto, en la medida en la que aplique, no será necesario firmar un contrato de encargo de tratamiento adicional a las SCCs.

Entrada en vigor

Las nuevas SCCs entran en vigor el 27 de junio de 2021. Por lo tanto, será posible empezar a incorporarlas como mecanismo para garantizar un nivel adecuado de protección de los datos que van a ser transferidos internacionalmente a partir de la mencionada fecha. No obstante, será posible seguir utilizando las SCCs anteriores durante un periodo transitorio de quince (15) meses posteriores a la entrada en vigor de las nuevas SCCs, es decir, hasta el 27 de diciembre de 2022, siempre que (i) el tratamiento sujeto a las SCCs no cambie y (ii) sea posible garantizar un nivel adecuado de protección de los datos personales.

La propuesta inicial de la Comisión europea contemplaba un periodo transitorio de un (1) año. El periodo transitorio final de quince (15) meses supone una ampliación solicitada por gran parte de las respuestas recibidas por la Comisión Europea durante la consulta pública de las nuevas SCCs.

Cambios relevantes

En cuanto al contenido de las nuevas SCCs, destacan las siguientes cláusulas:

  • Cláusula de adhesión: las nuevas SCCs permiten que terceros se adhieran a las partes firmantes, sin necesidad de modificar y firmar unas nuevas SCCs. Este mecanismo facilita enormemente la utilización de este mecanismo, por ejemplo, cuando se utilice una gran cantidad de encargados para un mismo tratamiento.
  • Comunicaciones de datos: la comunicación de los datos sujetos a las SCCs a terceros que se encuentren fuera del Espacio Económico Europeo queda prohibida, a menos que (i) se realice a un país del que la Comisión haya emitido una decisión de adecuación, (ii) se garantice un nivel adecuado de protección de los datos a través de otros mecanismos (como podrían ser suscribir las SCCs, normas corporativas vinculantes o códigos de conducta), (iii) sea necesario para la formulación, el ejercicio, o la defensa de reclamaciones, o (iv) sea necesario para proteger los interese vitales de los interesados.
  • Información: en el caso de transferencias internacionales R-R, el responsable del tratamiento al que se le comuniquen los datos y que se encuentre fuera del Espacio Económico Europeo deberá informar sobre (i) su identidad y datos de contacto, (ii) las categorías de datos personales que vaya a tratar, (iii) el derecho a obtener una copia de las SCCs firmadas, y (iv) si pretende comunicar los datos a un tercero, las categorías de terceros que accederán a los datos, la finalidad de la comunicación de los datos y la habilitación contractual que le permita comunicar los datos.
  • Identificación de la autoridad competente: la autoridad de protección de datos del Estado miembro en que tiene su establecimiento el que transfiere datos personales fuera del Espacio Económico Europeo será la competente de supervisar la transferencia. Cuando el que transfiere los datos fuera del Espacio Económico Europeo no tiene su establecimiento en la Unión Europea, lo será la autoridad de protección de datos del Estado miembro en el que se encuentre su representante.
  • Medidas técnicas y organizativas: a diferencia de las anteriores SCCs, las nuevas incluyen medidas técnicas y organizativas específicas para los cuatro escenarios contemplados. Las anteriores solo incluían una descripción detallada de las medidas técnicas y organizativas para transferencias R-E.
  • Responsabilidad solidaria: los interesados podrán reclamar ante cualquiera de los involucrados en una transferencia internacional cualquier daño y perjuicio causado por cualquiera de los involucrados en la transferencia internacional, con independencia de que las partes involucradas repitan el daño al verdadero causante.

Schrems II

A raíz de la Sentencia Schrems II del Tribunal de Justicia de la Unión Europea, las nuevas SCCs incluyen igualmente obligaciones encaminadas a (i) evaluar el impacto de la transferencia internacional, y (ii) saber cómo actuar en caso de recibir una solicitud de acceso a los datos por parte de las autoridades.

Próximos pasos

La publicación de la versión final de las nuevas SCCs conllevan dos grandes consecuencias para toda empresa:

  1. la actualización de las SCCs que ya haya firmado; y
  2. la actualización de sus protocolos de transferencias internacionales para incluir los casos en los que se podrá utilizar las nuevas SCCs.

Autores: Pedro Méndez de Vigo y Jorge Monclús

Autores:

Asociado

53 artículos



pedro.mendezdevigo@cuatrecasas.com

Consejero

95 artículos

Jorge Monclús

jorge.monclus@cuatrecasas.com